应用于入侵检测系统的规则同步方法、装置和存储介质与流程

本发明涉及网络安全，尤其涉及应用于入侵检测系统的规则同步方法、装置和存储介质。

背景技术：

1、随着网络攻击手段的日益复杂多变，一次漏报可能导致整个网络安全遭受重大损失。相关的应用于入侵检测系统的规则同步技术方案中，主要是基于安全团队制定的静态检测规则或特征库来进行入侵检测，当面对新型攻击时，需要人工对规则进行修正。但是，由于人工更新维护检测规则的效率十分有限，无法满足频繁优化的需求，一方面导致漏洞时间窗口增大，一方面导致不同入侵检测系统(intrusion detection system，ids)的检测规则存在差异，降低入侵检测效率。

技术实现思路

1、本发明提供了一种应用于入侵检测系统的规则同步方法、装置和存储介质，以提高入侵检测系统的规则同步效率。

2、根据本发明的一方面，提供了一种应用于入侵检测系统的规则同步方法，该方法包括：

3、基于所述服务节点的节点数据，确定与所述服务节点相对应的入侵关联数据，其中，所述入侵关联数据包括入侵检测结果和与所述入侵检测结果相对应的节点数据；

4、根据所有所述入侵关联数据的公共数据，确定待同步节点；

5、基于除所述待同步节点之外的服务节点相对应的入侵关联数据，对所述待同步节点进行训练，以更新所述待同步节点的入侵检测规则。

6、进一步的，所述根据所有所述入侵关联数据的公共数据，确定待同步节点，包括：

7、确定所有所述入侵关联数据的公共数据；

8、确定各服务节点对于所述公共数据的检测结果是否相同；所述检测结果包括存在入侵风险和不存在入侵风险；

9、若存在至少两个所述服务节点对于所述公共数据的检测结果不同，将所述检测结果为不存在入侵风险的服务节点作为待同步节点。

10、进一步的，所述根据所有所述入侵关联数据的公共数据，确定待同步节点，还包括：

11、对所述待同步节点添加标记。

12、进一步的，所述基于除所述待同步节点之外的服务节点相对应的入侵关联数据，对所述待同步节点进行训练，包括：

13、基于除所述待同步节点之外的服务节点相对应的入侵检测结果，对所述待同步节点的入侵检测规则进行调整。

14、进一步的，所述基于除所述待同步节点之外的服务节点相对应的入侵检测结果，对所述待同步节点的入侵检测规则进行调整，包括：

15、基于除所述待同步节点之外的服务节点到所述待同步节点的最短路径对应的距离，确定目标同步节点；

16、基于所述目标同步节点的入侵检测规则对所述待同步节点的入侵检测规则进行调整。

17、进一步的，所述基于所述服务节点的节点数据，确定与所述服务节点相对应的入侵关联数据，包括：

18、在满足预设条件时，基于所述服务节点的节点数据和所述入侵检测规则，确定与所述服务节点相对应的入侵关联数据；

19、其中，所述预设条件包括下述至少一种：

20、所述节点数据所对应的检测时间满足预设时间周期。

21、进一步的，所述根据所有所述入侵关联数据的公共数据，确定待同步节点，还包括：

22、生成提示信息，并将所述提示信息发送至所述待同步节点，

23、其中，所述提示信息用于确定所述待同步节点的待同步入侵检测规则。

24、进一步的，所述节点数据包括流量数据。

25、根据本发明的另一方面，提供了一种应用于入侵检测系统的规则同步装置，该装置包括：

26、关联数据确定模块，用于基于所述服务节点的节点数据，确定与所述服务节点相对应的入侵关联数据，其中，所述入侵关联数据包括入侵检测结果和与所述入侵检测结果相对应的节点数据；

27、节点确定模块，用于根据所有所述入侵关联数据的公共数据，确定待同步节点；

28、规则更新模块，用于基于除所述待同步节点之外的服务节点相对应的入侵关联数据，对所述待同步节点进行训练，以更新所述待同步节点的入侵检测规则。

29、根据本发明的另一方面，提供了一种电子设备，该电子设备包括：

30、至少一个处理器；以及

31、与至少一个处理器通信连接的存储器；其中，

32、存储器存储有可被至少一个处理器执行的计算机程序，计算机程序被至少一个处理器执行，以使至少一个处理器能够执行本发明任一实施例的应用于入侵检测系统的规则同步方法。

33、根据本发明的另一方面，提供了一种计算机可读存储介质，该计算机可读存储介质存储有计算机指令，计算机指令用于使处理器执行时实现本发明任一实施例的应用于入侵检测系统的规则同步方法。

34、本发明实施例的技术方案，基于所述服务节点的节点数据，确定与所述服务节点相对应的入侵关联数据，其中，所述入侵关联数据包括入侵检测结果和与所述入侵检测结果相对应的节点数据；根据所有所述入侵关联数据的公共数据，确定待同步节点；基于除所述待同步节点之外的服务节点相对应的入侵关联数据，对所述待同步节点进行训练，以更新所述待同步节点的入侵检测规则。解决了规则同步效率较低的问题，能够自动进行规则同步，提高入侵检测系统的规则同步效率和入侵检测效率。

35、应当理解，本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征，也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。

技术特征：

1.一种应用于入侵检测系统的规则同步方法，其特征在于，部署于分布式系统中，所述分布式系统包括多个服务节点，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述根据所有所述入侵关联数据的公共数据，确定待同步节点，包括：

3.根据权利要求1或2所述的方法，其特征在于，所述根据所有所述入侵关联数据的公共数据，确定待同步节点，还包括：

4.根据权利要求1所述的方法，其特征在于，所述基于除所述待同步节点之外的服务节点相对应的入侵关联数据，对所述待同步节点进行训练，包括：

5.根据权利要求4所述的方法，其特征在于，所述基于除所述待同步节点之外的服务节点相对应的入侵检测结果，对所述待同步节点的入侵检测规则进行调整，包括：

6.根据权利要求1所述的方法，其特征在于，所述基于所述服务节点的节点数据，确定与所述服务节点相对应的入侵关联数据，包括：

7.根据权利要求1-3中任一所述的方法，其特征在于，所述根据所有所述入侵关联数据的公共数据，确定待同步节点，还包括：

8.根据权利要求1或5所述的方法，其特征在于，

9.一种应用于入侵检测系统的规则同步装置，其特征在于，部署于分布式系统中，所述分布式系统包括多个服务节点，所述装置包括：

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行时实现权利要求1-8中任一项所述的应用于入侵检测系统的规则同步方法。

技术总结
本发明公开了一种应用于入侵检测系统的规则同步方法、装置和存储介质。其中，方法包括：基于服务节点的节点数据，确定与服务节点相对应的入侵关联数据，其中，入侵关联数据包括入侵检测结果和与入侵检测结果相对应的节点数据；根据所有入侵关联数据的公共数据，确定待同步节点；基于除待同步节点之外的服务节点相对应的入侵关联数据，对待同步节点进行训练，以更新待同步节点的入侵检测规则。解决了规则同步效率较低的问题，能够自动进行规则同步，提高入侵检测系统的规则同步效率和入侵检测效率。

技术研发人员：陈清明,邹洪,明哲,樊凯,张佳发,曾子峰,许伟杰,江家伟,金浩,陈锋
受保护的技术使用者：南方电网数字电网集团信息通信科技有限公司
技术研发日：
技术公布日：2024/2/6